Серьёзная атака на цепочку поставок затронула одну из самых популярных JavaScript-библиотек — Axios, что создало потенциальные риски для миллионов криптоприложений, включая кошельки, биржи и децентрализованные сервисы. Исследователи кибербезопасности из Socket Security и StepSecurity обнаружили, что злоумышленники внедрили вредоносный код в две версии библиотеки, опубликованные в реестре npm: axios@1.14.1 и axios@0.30.4.
Атака, которая была активна около трёх часов 31 марта 2026 года, стала результатом компрометации учётной записи одного из ведущих сопровождающих проекта. Злоумышленники получили несанкционированный доступ к системе публикации и выпустили заражённые версии, минуя стандартный процесс через GitHub.
Механизм атаки был высокоорганизованным: вредоносные версии подключали скрытую зависимость — пакет plain-crypto-js@4.2.1, который не присутствовал в исходном коде Axios. При установке запускался пост-инсталляционный скрипт, который разворачивал на системе удалённый троян (RAT). Этот троян способен выполнять команды, собирать данные и подключаться к внешним серверам, работая на macOS, Windows и Linux. После выполнения скрипт самоуничтожался и заменял подозрительные файлы на чистые версии, чтобы избежать обнаружения.
Исследователи также обнаружили два дополнительных вредоносных пакета — @shadanai/openclaw и @qqbrowser/openclaw-qbot, которые использовали аналогичный метод доставки. Эта атака последовала за инцидентом с инъекцией вредоносного кода в LiteLLM всего неделей ранее, что указывает на растущую тенденцию атак через цепочки поставок.
Риски для криптоиндустрии особенно высоки, поскольку Axios широко используется для взаимодействия с серверами в веб-приложениях. Библиотека насчитывает до 300 миллионов еженедельных загрузок. Криптопроекты, использующие скомпрометированные версии, могли подвергнуться утечке конфиденциальных данных, включая приватные ключи, API-токены и информацию пользователей.
На данный момент не зафиксировано случаев несанкционированного перемещения криптоактивов или масштабных краж, однако эксперты предупреждают, что подобные атаки через npm могут стать новой нормой. Угроза особенно опасна для проектов с автоматическими обновлениями зависимостей.
Реестр npm уже удалил вредоносные версии. Разработчикам рекомендуется немедленно проверить свои проекты на наличие скомпрометированных версий Axios и пакета plain-crypto-js@4.2.1, удалить их и перейти на безопасные версии библиотеки. Также необходимо провести аудит систем на предмет необычной активности.
